Informazioni su Kernel Live Patching e Patch Manager Come funziona Attivazione di Kernel Live Patching tramite Run Command Applicazione delle patch live del kernel utilizzando Run Command Disattivazione di Kernel Live Patching tramite Run Command

Utilizzo di Kernel Live Patching su nodi gestiti Amazon Linux 2

Kernel Live Patching per Amazon ti consente di applicare patch di vulnerabilità della sicurezza e di bug critici a un kernel Linux in esecuzione, senza riavvii o interruzioni delle applicazioni in esecuzione. Ciò consente di beneficiare di una migliore disponibilità di servizi e applicazioni, mantenendo al contempo l'infrastruttura sicura e aggiornata. Kernel Live Patchingè supportato su EC2 istanze Amazon, dispositivi AWS IoT Greengrass principali e macchine virtuali locali che eseguono Amazon Linux 2.

Per informazioni generali suKernel Live Patching, consulta Kernel Live PatchingAmazon Linux 2 nella Amazon EC2 User Guide.

Dopo aver Kernel Live Patching attivato un nodo gestito Amazon Linux 2, puoi utilizzare, una funzionalità di Patch Manager AWS Systems Manager, per applicare le patch live del kernel al nodo gestito. L'utilizzo di Patch Manager per applicare gli aggiornamenti è un'alternativa ai flussi di lavoro yum nel nodo.

Prima di iniziare

Per utilizzare Patch Manager per applicare patch live del kernel ai nodi gestiti di Amazon Linux 2, assicurati che i nodi siano basati sull'architettura e sulla versione del kernel corrette. Per informazioni, consulta Configurazioni e prerequisiti supportati nella Amazon EC2 User Guide.

Argomenti

Informazioni su Kernel Live Patching e Patch Manager
Come funziona
Attivazione di Kernel Live Patching tramite Run Command
Applicazione delle patch live del kernel utilizzando Run Command
Disattivazione di Kernel Live Patching tramite Run Command

Informazioni su Kernel Live Patching e Patch Manager

Aggiornamento della versione del kernel: Non è necessario riavviare un nodo gestito dopo aver applicato un aggiornamento della patch live del kernel. Tuttavia, AWS fornisce patch live del kernel per una versione del kernel Amazon Linux 2 per un massimo di tre mesi dopo il suo rilascio. Dopo il periodo di tre mesi, è necessario eseguire l'aggiornamento a una versione del kernel successiva per continuare a ricevere patch live del kernel. Ti consigliamo di utilizzare una finestra di manutenzione per pianificare un riavvio del nodo almeno una volta ogni tre mesi per richiedere l'aggiornamento della versione del kernel.
Disinstallazione delle patch live del kernel: Le patch live del kernel non possono essere disinstallate utilizzando Patch Manager. Puoi invece disattivarloKernel Live Patching, che rimuove RPM i pacchetti per le patch live del kernel applicate. Per ulteriori informazioni, consulta Disattivazione di Kernel Live Patching tramite Run Command.
Conformità del kernel: In alcuni casi, l'installazione di tutte le CVE correzioni da live patch per la versione corrente del kernel può portare il kernel allo stesso stato di conformità che avrebbe una versione del kernel più recente. Quando ciò accade, la versione più recente viene segnalata come Installed e il nodo gestito restituito come Compliant. Tuttavia, non viene restituita l'ora di installazione per la versione più recente del kernel.
Una patch live del kernel, più CVEs: Se una patch live del kernel riguarda più CVEs patch e queste CVEs hanno diversi valori di classificazione e gravità, per la patch CVEs viene riportata solo la classificazione e la gravità più elevate tra le altre.

Nella parte restante di questa sezione viene descritto come utilizzare Patch Manager per applicare patch live del kernel ai nodi gestiti che soddisfano questi requisiti.

Come funziona

AWS rilascia due tipi di patch live del kernel per Amazon Linux 2: aggiornamenti di sicurezza e correzioni di bug. Per applicare questi tipi di patch, utilizzare un documento della base di patch destinato solo alle classificazioni e alle severità elencate nella tabella seguente.

Classificazione	Gravità
`Security`	`Critical`, `Important`
`Bugfix`	`All`

Puoi creare una base di patch personalizzata destinata solo a queste patch oppure utilizzare la base di patch AWS-AmazonLinux2DefaultPatchBaseline predefinita. In altre parole, puoi utilizzare AWS-AmazonLinux2DefaultPatchBaseline con i nodi gestiti Amazon Linux 2 in cui è abilitato Kernel Live Patching per applicare gli aggiornamenti live del kernel.

Nota

La configurazione AWS-AmazonLinux2DefaultPatchBaseline specifica un periodo di attesa di 7 giorni dopo il rilascio o l'ultimo aggiornamento di una patch prima dell'installazione automatica. Se non si desidera attendere 7 giorni per l'approvazione automatica delle patch live del kernel, è possibile creare e utilizzare una patch di base personalizzata. Nella base di patch, è possibile specificare nessun periodo di attesa per l'approvazione automatica o specificarne uno più breve o più lungo. Per ulteriori informazioni, consulta Utilizzo delle basi di patch personalizzate.

Ti consigliamo la seguente strategia per applicare patch ai nodi gestiti con aggiornamenti live del kernel:

Attiva Kernel Live Patching sui nodi gestiti Amazon Linux 2.
UtilizzaRun Command, una funzionalità di AWS Systems Manager, per eseguire un'Scanoperazione sui nodi gestiti utilizzando la patch di base predefinita AWS-AmazonLinux2DefaultPatchBaseline o personalizzata che si rivolge anche solo agli Security aggiornamenti con gravità classificata come Critical e e Important la gravità di. Bugfix All
Utilizza Compliance, una funzionalità di AWS Systems Manager, per verificare se viene segnalata la non conformità per l'applicazione di patch per uno qualsiasi dei nodi gestiti sottoposti a scansione. In caso affermativo, visualizza i dettagli della conformità del nodo per determinare se alcune patch live del kernel mancano dal nodo gestito.
Per installare patch live del kernel mancanti, utilizza Run Command con la stessa base di patch specificata in precedenza, ma questa volta esegui un'operazione Install invece di un'operazione Scan.

Poiché le patch live del kernel vengono installate senza la necessità di riavviare, puoi scegliere l'opzione di riavvio NoReboot per questa operazione.

Nota
È comunque possibile riavviare il nodo gestito se necessario per altri tipi di patch installati nel nodo o se vuoi eseguire l'aggiornamento a un kernel più recente. In questi casi, scegli invece l'opzione di riavvio RebootIfNeeded.
Torna a Conformità per verificare che le patch live del kernel siano state installate.

Attivazione di Kernel Live Patching tramite Run Command

Per attivarlaKernel Live Patching, è possibile eseguire yum comandi sui nodi gestiti o utilizzare Run Command un documento Systems Manager personalizzato (SSMdocumento) creato dall'utente.

Per informazioni sull'attivazione Kernel Live Patching eseguendo yum i comandi direttamente sul nodo gestito, consulta Enable Kernel Live Patching nella Amazon EC2 User Guide.

Nota

Quando si attiva Kernel Live Patching, se il kernel già in esecuzione sul nodo gestito è precedente rispetto a kernel-4.14.165-131.185.amzn2.x86_64 (la versione minima supportata), il processo installa l'ultima versione disponibile del kernel e riavvia il nodo gestito. Se il nodo sta già eseguendo kernel-4.14.165-131.185.amzn2.x86_64 o versione successiva, il processo non installa una versione più recente e non riavvia il nodo.

Per attivare Kernel Live Patching tramite Run Command(console)

Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.
Nel riquadro di navigazione, scegli Run Command.
Seleziona Run command (Esegui comando).
Nell'elenco dei documenti di comando, scegliete il SSM documento personalizzatoAWS-ConfigureKernelLivePatching.
Nella sezione Parametri di comando specifica se vuoi che i nodi gestiti vengano riavviati come parte di questa operazione.
Per informazioni sull'utilizzo dei controlli rimanenti in questa pagina, consulta Esecuzione di comandi dalla console.
Seleziona Esegui.

Per attivare Kernel Live Patching (AWS CLI)

Esegui il comando seguente sul computer locale.
Linux & macOS
```
aws ssm send-command \
    --document-name "AWS-ConfigureKernelLivePatching" \
    --parameters "EnableOrDisable=Enable" \
    --targets "Key=instanceids,Values=instance-id"
```
Windows Server
```
aws ssm send-command ^
    --document-name "AWS-ConfigureKernelLivePatching" ^
    --parameters "EnableOrDisable=Enable" ^
    --targets "Key=instanceids,Values=instance-id"
```
Replace (Sostituisci) instance-id con l'ID del nodo gestito Amazon Linux 2 su cui desideri attivare la funzionalità, ad esempio EXAMPLE i-02573cafcf. Per disabilitare la caratteristica su più nodi gestiti puoi utilizzare uno dei seguenti formati.
- --targets "Key=instanceids,Values=instance-id1,instance-id2"
- --targets "Key=tag:tag-key,Values=tag-value"
Per informazioni sulle altre opzioni che puoi utilizzare con il comando, consulta send-command in Riferimento ai comandi della AWS CLI .

Applicazione delle patch live del kernel utilizzando Run Command

Per applicare le patch live del kernel, puoi eseguire yum comandi sui nodi gestiti o utilizzare and the document. Run Command SSM AWS-RunPatchBaseline

Per informazioni sull'applicazione delle patch live del kernel eseguendo i yum comandi direttamente sul nodo gestito, consulta Applica le patch live del kernel nella Amazon User Guide. EC2

Per applicare patch live del kernel utilizzando Run Command (console)

Apri la console all'indirizzo. AWS Systems Manager https://console.aws.amazon.com/systems-manager/
Nel riquadro di navigazione, scegli Run Command.
Seleziona Run command (Esegui comando).
Nell'elenco dei documenti di comando, scegliete il SSM documentoAWS-RunPatchBaseline.
Nella sezione Parametri di comando esegui una delle operazioni seguenti:
- Se devi verificare se sono disponibili nuove patch live del kernel, per Operazione scegli Scan. Per Opzione di riavvio, se non vuoi che i nodi gestiti vengano riavviati dopo questa operazione, scegli NoReboot. Al termine dell'operazione, puoi verificare la presenza di nuove patch e lo stato di conformità in Conformità.
- Se hai già verificato la conformità delle patch e vuoi applicare le patch live del kernel disponibili, per Operazione scegli Install. Per Opzione di riavvio, se non desideri che i nodi gestiti vengano riavviati dopo questa operazione, scegli NoReboot.
Per informazioni sull'utilizzo dei controlli rimanenti in questa pagina, consulta Esecuzione di comandi dalla console.
Seleziona Esegui.

Per applicare patch live del kernel utilizzando Run Command (AWS CLI)

Per eseguire un'operazione Scan prima di controllare i risultati in Conformità , esegui il comando seguente dal computer locale.

Per informazioni sulle altre opzioni che puoi utilizzare con il comando, consulta send-command in Riferimento ai comandi della AWS CLI .

Per eseguire un'operazione Install dopo aver verificato i risultati in Conformità , esegui il comando seguente dal computer locale.

In entrambi i comandi precedenti, sostituisci instance-id con l'ID del nodo gestito Amazon Linux 2 su cui desideri applicare le patch live del kernel, come i-02573cafcf. EXAMPLE Per disabilitare la caratteristica su più nodi gestiti puoi utilizzare uno dei seguenti formati.

--targets "Key=instanceids,Values=instance-id1,instance-id2"
--targets "Key=tag:tag-key,Values=tag-value"

Per informazioni sulle altre opzioni che puoi utilizzare con questi comandi, consulta send-command in Riferimento ai comandi della AWS CLI .

Disattivazione di Kernel Live Patching tramite Run Command

Per disattivarlaKernel Live Patching, puoi eseguire yum comandi sui nodi gestiti o utilizzare il documento personalizzato. Run Command SSM AWS-ConfigureKernelLivePatching

Nota

Se non è più necessario utilizzare Kernel Live Patching, puoi disabilitarla in qualsiasi momento. Nella maggior parte dei casi, la disattivazione della funzione non è necessaria.

Per informazioni sulla disattivazione Kernel Live Patching mediante l'esecuzione dei yum comandi direttamente sul nodo gestito, consulta Enable Kernel Live Patching nella Amazon EC2 User Guide.

Nota

Quando si disattiva Kernel Live Patching, il processo disinstalla il plugin Kernel Live Patching e quindi riavvia il nodo gestito.

Per disattivare Kernel Live Patching tramite Run Command (console)

Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.
Nel riquadro di navigazione, scegli Run Command.
Seleziona Run command (Esegui comando).
Nell'elenco dei documenti di comando, scegliete il SSM documentoAWS-ConfigureKernelLivePatching.
Nella sezione Command parameters (Parametri di comando) specificare i valori per i parametri necessari.
Per informazioni sull'utilizzo dei controlli rimanenti in questa pagina, consulta Esecuzione di comandi dalla console.
Seleziona Esegui.

Per disattivare Kernel Live Patching (AWS CLI)

Esegui un comando simile al seguente.
Linux & macOS
```
aws ssm send-command \
    --document-name "AWS-ConfigureKernelLivePatching" \
    --targets "Key=instanceIds,Values=instance-id" \
    --parameters "EnableOrDisable=Disable"
```
Windows Server
```
aws ssm send-command ^
    --document-name "AWS-ConfigureKernelLivePatching" ^
    --targets "Key=instanceIds,Values=instance-id" ^
    --parameters "EnableOrDisable=Disable"
```
Replace (Sostituisci) instance-id con l'ID del nodo gestito Amazon Linux 2 su cui desideri disattivare la funzionalità, ad esempio EXAMPLE i-02573cafcf. Per disabilitare la caratteristica su più nodi gestiti puoi utilizzare uno dei seguenti formati.
- --targets "Key=instanceids,Values=instance-id1,instance-id2"
- --targets "Key=tag:tag-key,Values=tag-value"
Per informazioni sulle altre opzioni che puoi utilizzare con il comando, consulta send-command in Riferimento ai comandi della AWS CLI .

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Informazioni sull'applicazione di patch rilasciata da Microsoft in Windows Server

Lavorare con Patch Manager (Console)